Роли с минимально необходимыми привилегиями для разных задач в Microsoft Entra ID
В этой статье вы можете найти сведения, необходимые для ограничения разрешений администратора пользователя, назначив наименее привилегированные роли в идентификаторе Microsoft Entra ID. Здесь вы найдете задачи, упорядоченные по функциональным областям с указанием наименее привилегированных ролей для выполнения каждой из задач и дополнительных ролей без прав глобального администратора, которые могут выполнять эти задачи.
Вы можете дополнительно ограничить разрешения, назначив роли с более узкими областями или создав собственные настраиваемые роли. Дополнительные сведения см. в разделе "Назначение ролей Microsoft Entra" в разных область или создании и назначении настраиваемой роли в идентификаторе Microsoft Entra.
Прокси приложения
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Настройка приложения прокси приложений | Администратор приложений | |
Настройка свойств группы соединителей | Администратор приложений | |
Создание регистрации приложения, когда эта возможность отключена для всех пользователей | Разработчик приложений | Администратор облачных приложений Администратор приложений |
Создание группы соединителей | Администратор приложений | |
Удаление группы соединителей | Администратор приложений | |
Disable application proxy (Отключение прокси приложения) | Администратор приложений | |
Скачивание службы соединителя | Администратор приложений | |
Чтение всех конфигураций | Администратор приложений |
Внешние удостоверения / B2C
Примечание.
Глобальные Администратор istratorы Azure AD B2C не имеют одинаковых разрешений, что и microsoft Entra Global Администратор istrators. Если у вас есть права глобального Администратор istrator Azure AD B2C, убедитесь, что вы находитесь в каталоге Azure AD B2C, а не в каталоге Microsoft Entra.
Корпоративная фирменная символика
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Настройка корпоративной фирменной символики | Организационный брендинг Администратор istrator | |
Чтение всех конфигураций | Читатели каталогов | Роль пользователя по умолчанию |
Связь
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Сквозная проверка подлинности | Администратор гибридных удостоверений | |
Чтение всех конфигураций | Глобальный читатель | Администратор гибридных удостоверений |
Бесшовный единый вход | Администратор гибридных удостоверений |
Connect
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Управление синхронизацией локальных каталогов | Администратор гибридных удостоверений |
Облачная подготовка
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Сквозная проверка подлинности | Администратор гибридных удостоверений | |
Чтение всех конфигураций | Глобальный читатель | Администратор гибридных удостоверений |
Бесшовный единый вход | Администратор гибридных удостоверений |
Connect Health
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Добавление или удаление служб | Ответственное лицо | |
Примените исправлений к ошибкам синхронизации | Участник | Ответственное лицо |
Настройка уведомлений | Участник | Ответственное лицо |
Настройка параметров | Ответственное лицо | |
Настройка уведомлений синхронизации | Участник | Ответственное лицо |
Чтение отчетов безопасности ADFS | читатель сведений о безопасности; | Участник Ответственное лицо |
Чтение всех конфигураций | Читатель | Участник Ответственное лицо |
Чтение ошибок синхронизации | Читатель | Участник Ответственное лицо |
Чтение служб синхронизации | Читатель | Участник Ответственное лицо |
Просмотр оповещений и метрик | Читатель | Участник Ответственное лицо |
Просмотр оповещений и метрик | Читатель | Участник Ответственное лицо |
Просмотр метрик и оповещений службы синхронизации | Читатель | Участник Ответственное лицо |
Личные доменные имена
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Управление доменами | Доменный имя Администратор istrator | |
Чтение всех конфигураций | Читатели каталогов | Роль пользователя по умолчанию |
Доменные службы
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Создание экземпляра доменных служб Microsoft Entra | Администратор приложений Администратор групп Участник доменных служб |
|
Выполнение всех задач доменных служб Microsoft Entra | Группа администраторов AAD DC | |
Чтение всех конфигураций | Читатель для подписки Azure, которая содержит службу AD DS |
.
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Удаление устройства | Администратор облачных устройств | Администратор Intune |
Отключение устройства | Администратор облачных устройств | Администратор Intune |
Включение устройства | Администратор облачных устройств | Администратор Intune |
Чтение базовой конфигурации | Роль пользователя по умолчанию | |
Чтение ключей BitLocker | Администратор облачных устройств | Администратор службы технической поддержки Администратор Intune администратор безопасности; читатель сведений о безопасности; |
Корпоративные приложения
Управление правами
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Добавить ресурсы в каталог | Администратор управления удостоверениями | С помощью управления правами можно делегировать эту задачу владельцу каталога. |
Добавление сайтов SharePoint Online в каталог | Администратор SharePoint |
Группы
Защита идентификации
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Настройка уведомлений об оповещениях | администратор безопасности; | |
Настройка и включение (или отключение) политики MFA | администратор безопасности; | |
Настройка и включение (или отключение) политики риска при входе | администратор безопасности; | |
Настройка и включение (или отключение) политики риска пользователя | администратор безопасности; | |
Настройка еженедельных дайджестов | администратор безопасности; | |
Удаление всех данных обнаружения риска | администратор безопасности; | |
Устранение или отклонение уязвимостей | администратор безопасности; | |
Чтение всех конфигураций | читатель сведений о безопасности; | |
Чтение всех данных обнаружения риска | читатель сведений о безопасности; | |
Чтение уязвимостей | читатель сведений о безопасности; |
Лицензии
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Назначение лицензии | Администратор лицензий | Администратор пользователей |
Чтение всех конфигураций | Читатели каталогов | Роль пользователя по умолчанию |
Отмена лицензии | Администратор лицензий | Администратор пользователей |
Тестирование или приобретение подписки | Администратор выставления счетов |
Мониторинг — журналы аудита
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Чтение журналов аудита | Читатель отчетов | читатель сведений о безопасности; администратор безопасности; |
Мониторинг — входы в систему
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Чтение журналов входа | Читатель отчетов | читатель сведений о безопасности; администратор безопасности; Глобальный читатель |
Многофакторная проверка подлинности
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Удаление всех существующих паролей приложений, созданных выбранными пользователями | Политика проверки подлинности Администратор istrator | Администратор проверки подлинности |
Отключите многофакторную проверку подлинности, заданную для каждого пользователя | Администратор проверки подлинности | Привилегированный администратор проверки подлинности |
Включение MFA для каждого пользователя | Администратор проверки подлинности | Привилегированный администратор проверки подлинности |
Управление параметрами службы MFA | Политика проверки подлинности Администратор istrator | |
Требовать у выбранных пользователей сообщать о способах связи еще раз | Администратор проверки подлинности | |
Восстановление многофакторной проверки подлинности на всех запоминаемых устройствах | Администратор проверки подлинности |
Сервер MFA
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Блокировка и разблокировка пользователей | Политика проверки подлинности Администратор istrator | |
Настройка блокировки учетной записи | Политика проверки подлинности Администратор istrator | |
Настройка правил кэширования | Политика проверки подлинности Администратор istrator | |
Настройка предупреждения о мошенничестве | Политика проверки подлинности Администратор istrator | |
Настройка уведомлений | Политика проверки подлинности Администратор istrator | |
Настройка одноразового обхода проверки | Политика проверки подлинности Администратор istrator | |
Настройка параметров телефонного звонка | Политика проверки подлинности Администратор istrator | |
Настройка поставщиков | Политика проверки подлинности Администратор istrator | |
Настройка параметров сервера | Политика проверки подлинности Администратор istrator | |
Чтение отчета об активности | Глобальный читатель | |
Чтение всех конфигураций | Глобальный читатель | |
Чтение состояния сервера | Глобальный читатель |
Организационные связи
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Управление поставщиками удостоверений | Администратор внешнего поставщика удостоверений | |
Чтение всех конфигураций | Глобальный читатель |
Сброс пароля
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Настройка методов проверки подлинности | Политика проверки подлинности Администратор istrator | |
Настройка параметров настройки | Политика проверки подлинности Администратор istrator | |
Настройка уведомлений | Политика проверки подлинности Администратор istrator | |
Настройка интеграции с локальной средой | Политика проверки подлинности Администратор istrator | |
Настройка свойств сброса паролей | Администратор пользователей | Политика проверки подлинности Администратор istrator |
Настройка регистрации | Политика проверки подлинности Администратор istrator | |
Чтение всех конфигураций | администратор безопасности; | Администратор пользователей |
Управление разрешениями
Что такое Управление разрешениями Microsoft Entra
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Подключение клиента | Управление разрешениями Администратор istrator | |
Подключение облачных сред | Управление разрешениями Администратор istrator | |
Назначение разрешений в Управление разрешениями Microsoft Entra | Управление разрешениями Администратор istrator | |
Запуск пробной версии и покупка лицензий Управление разрешениями Microsoft Entra | Администратор выставления счетов |
Управление привилегированными пользователями
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Назначение пользователей ролям | Администратор привилегированных ролей | |
Настройка параметров роли | Администратор привилегированных ролей | |
Просмотр действия аудита | читатель сведений о безопасности; | |
Просмотр членств в роли | читатель сведений о безопасности; |
Роли и администраторы
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Управление назначением ролей | Администратор привилегированных ролей | |
Проверка доступа на чтение роли Microsoft Entra | читатель сведений о безопасности; | администратор безопасности; Администратор привилегированных ролей |
Чтение всех конфигураций | Роль пользователя по умолчанию |
Безопасность — методы проверки подлинности
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Включение или отключение методов проверки подлинности | Политика проверки подлинности Администратор istrator | |
Просмотр, подготовка от имени и управление отдельными методами проверки подлинности пользователей | Администратор проверки подлинности | Привилегированный администратор проверки подлинности |
Настройка защиты паролем | администратор безопасности; | |
Настройка смарт-блокировки | администратор безопасности; | |
Чтение всех конфигураций | Глобальный читатель |
Безопасность — условный доступ
Безопасность — оценка безопасности удостоверений
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Чтение всех конфигураций | читатель сведений о безопасности; | администратор безопасности; |
Чтение оценки безопасности | читатель сведений о безопасности; | администратор безопасности; |
Обновление состояния события | администратор безопасности; |
Безопасность — рискованные входы
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Чтение всех конфигураций | читатель сведений о безопасности; | |
Чтение данных о рискованных входах | читатель сведений о безопасности; |
Безопасность — пользователи, находящиеся в группе риска
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Отклонение всех событий. | администратор безопасности; | |
Чтение всех конфигураций | читатель сведений о безопасности; | |
Чтение данных о пользователях, находящихся в группе риска | читатель сведений о безопасности; |
Временный секретный код
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Создание, удаление или просмотр Временного секретного кода для администраторов или членов (за исключением самих себя). | Привилегированный администратор проверки подлинности | |
Создание, удаление или просмотр Временного секретного кода для членов (за исключением самих себя). | Администратор проверки подлинности | |
Просмотр сведений о Временном секретном коде для пользователя (без чтения самого кода). | Глобальный читатель | |
Настройка или изменение политики метода проверки подлинности с помощью Временного секретного кода. | Политика проверки подлинности Администратор istrator |
Клиент
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Создание идентификатора Microsoft Entra или клиента Azure AD B2C | Создатель клиента | |
Обновление свойств клиента Microsoft Entra | Администратор выставления счетов | |
Управление заявлением о конфиденциальности и контактом | Администратор выставления счетов |
Пользователи
Задача | Наименее привилегированная роль | Дополнительные роли |
---|---|---|
Добавление пользователя в роль каталога | Администратор привилегированных ролей | |
Добавление пользователя в группу | Администратор пользователей | |
Назначение лицензии | Администратор лицензий | Администратор пользователей |
Создание гостевого пользователя | Приглашающий гостей | Администратор пользователей |
Сброс приглашения гостевого пользователя | Администратор службы технической поддержки | Администратор пользователей |
Создать пользователя | Администратор пользователей | |
Удаление пользователей | Администратор пользователей | |
Отмена маркеров обновления для администраторов с ограниченными правами | Администратор пользователей | |
Отмена маркеров обновления для пользователей, не являющихся администраторами | Администратор службы технической поддержки | Администратор пользователей |
Отмена маркеров обновления для привилегированных администраторов (см. документацию) | Привилегированный администратор проверки подлинности | |
Чтение базовой конфигурации | Роль пользователя по умолчанию | |
Сброс пароля для администраторов с ограниченными правами | Администратор пользователей | |
Сброс пароля для пользователей, не являющихся администраторами | Администратор паролей | Администратор пользователей |
Сброс паролей для привилегированных администраторов | Привилегированный администратор проверки подлинности | |
Отмена лицензии | Администратор лицензий | Администратор пользователей |
Обновление всех свойств, кроме имени участника-пользователя | Администратор пользователей | |
Обновление свойства с поддержкой локальной синхронизации | Администратор гибридных удостоверений | |
Обновление имени участника-пользователя для администраторов с ограниченными правами | Администратор пользователей | |
Обновление свойства имени участника-пользователя для привилегированных администраторов | Привилегированный администратор проверки подлинности | |
Обновление параметров пользователя — разрешения роли пользователя по умолчанию | Администратор привилегированных ролей | |
Обновление параметров пользователя — гостевой доступ пользователей | Администратор привилегированных ролей | |
Обновление параметров пользователя — центр Администратор istration | Глобальный администратор | |
Обновление параметров пользователя — подключения учетной записи LinkedIn | Глобальный администратор | |
Обновление параметров пользователя. Отображение входа пользователя в систему | Глобальный администратор | |
Обновление способов проверки подлинности | Администратор проверки подлинности | Привилегированный администратор проверки подлинности |
Поддержка
Следующие шаги
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по